Toutes les entreprises, notamment celles en croissance, ont à cœur la sûreté et la sécurité des informations et des données sensibles de leurs clients. Cela est d’autant plus important lorsqu’il s’agit des données de transactions financières. Heureusement, la norme PCI DSS a été mise en place pour réduire les violations de ces données au niveau des entreprises, des banques et des consommateurs.
Qu’est-ce que la certification PCI DSS ? Qui en sont les instigateurs ? À qui s’adresse cette norme ? Quels en sont les avantages ? Comment s’y conformer ? Quelles sont les conséquences d’une non-conformité ? Découvrez dans ce guide tout ce que vous devez savoir sur la norme PCI DSS.
Qu’est-ce que la norme PCI DSS ?
PCI DSS (Payment Card Industry Data Security Standard) est une abréviation qui signifie norme de sécurité des données de l’industrie des cartes de paiement. Il s’agit d’un ensemble de normes de sécurité constituées en 2004 par les principaux systèmes de cartes de crédit à savoir Visa, MasterCard, Discover Financial Services, JCB International et American Express.
Elle s’applique à toute organisation (des start-ups aux multinationales) qui accepte, traite, transmet ou stocke des informations de carte bancaire ou des données d’authentification sensibles, y compris les commerçants, les banques, les processeurs de paiement et les fournisseurs de services.
Régi par le Conseil des normes de sécurité PCI, ce système de conformité vise à sécuriser les transactions par carte de crédit et de débit contre le vol de données et la fraude. Ce Conseil n’a aucune autorité légale pour obliger les organisations à se conformer à la norme PCI DSS. Cependant, il s’agit d’une exigence pour toute entreprise qui traite des transactions par carte de crédit ou de débit.
La certification PCI est considérée comme le meilleur moyen de protéger les données et les informations sensibles, aidant ainsi les entreprises à établir des relations durables et de confiance avec leurs clients.
Découvrez nos offres incroyables pour vos solutions de paiement.
Les 12 exigences pour la conformité PCI DSS
Les exigences de la PCI DSS sont à la fois opérationnelles et techniques. L’objectif principal de ces règles est de protéger les données des titulaires de carte bancaire. Au nombre de 12, voici un résumé des exigences de la conformité PCI :
- Installer et tenir à jour une configuration de pare-feu pour protéger les données des titulaires de carte
- Éviter d’utiliser les paramètres par défaut du fournisseur pour les mots de passe système et les autres paramètres de sécurité
- Protéger les données stockées du titulaire de carte
- Encoder la transmission des données des titulaires de carte sur des réseaux publics ouverts
- Protéger tous les systèmes contre les logiciels malveillants et mettre régulièrement à jour les logiciels ou programmes antivirus
- Développer et tenir à jour des systèmes et des applications sécurisés
- Restreindre l’accès aux données des titulaires de carte aux seules personnes concernées
- Attribuer un identifiant unique à chaque personne ayant accès à un ordinateur dans la structure
- Restreindre l’accès physique aux données du titulaire de la carte
- Suivre et contrôler tous les accès aux ressources réseau et aux données des titulaires de carte
- Tester régulièrement les systèmes et processus de sécurité
- Définir une politique qui traite de la sécurité de l’information pour les employés et les prestataires.
Quels sont les niveaux de conformité PCI DSS
La conformité PCI est divisée en quatre niveaux, en fonction du nombre annuel de transactions par carte de crédit ou de débit qu’une entreprise traite. Les démarches qu’une entreprise doit effectuer pour rester conforme à la norme sont fonction de son niveau de classification.
Niveau 1 : Le niveau 1 concerne les commerçants qui traitent plus de six millions de transactions réelles par carte de crédit ou de débit chaque année. Ils doivent faire l’objet d’un audit interne une fois par an. Cet audit est effectué par un auditeur PCI agréé.
Niveau 2 : Le niveau 2 concerne les commerçants qui traitent entre un et six millions de transactions réelles par carte de crédit ou de débit chaque année. Ils sont tenus de remplir une fois par an un questionnaire d’auto-évaluation fourni par le Conseil des normes de sécurité PCI. De plus, un audit PCI trimestriel peut s’avérer nécessaire.
Niveau 3 : Le niveau 3 concerne les commerçants qui traitent chaque année entre 20 000 et un million de transactions par carte de crédit ou de débit. Ils doivent effectuer une évaluation annuelle à l’aide d’un questionnaire d’auto-évaluation. Un audit PCI trimestriel peut également être requise.
Niveau 4 : Le niveau 4 s’applique aux commerçants qui traitent moins de 20 000 transactions par an dans le cadre du commerce électronique. Une évaluation annuelle à l’aide du questionnaire d’auto-évaluation doit être effectuée et une analyse PCI trimestrielle peut être requise.
Quels sont les avantages de la conformité PCI DSS ?
Au vu de la procédure à suivre, se conformer aux normes de sécurité PCI semble être une tâche ardue. Le processus semble être un labyrinthe pour les petites entreprises, et même pour grandes organisations. Pourtant, la conformité devient de plus en plus importante dans le contexte actuel de vulgarisation du digital et de l’explosion du e-commerce.
La conformité à la norme PCI DSS présente des avantages majeurs, d’autant plus que le défaut de conformité peut avoir des conséquences graves et à long terme. Concrètement, la conformité PCI signifie que vos systèmes sont sécurisés et que vos clients peuvent vous faire confiance en vous confiant leurs informations de carte de paiement sensibles. Cette confiance conduit à la fidélisation des clients.
La conformité PCI améliore votre réputation auprès des acheteurs et auprès des processeurs de paiement. Il s’agit d’un processus continu qui aide à prévenir les failles de sécurité et le vol de données de carte de paiement à tout moment.
Lorsque vous faites le nécessaire pour respecter la conformité PCI, vous êtes mieux préparé pour vous conformer à d’autres réglementations supplémentaires. Cette conformité contribue aussi aux stratégies de sécurité de votre entreprise. Par ailleurs, elle participe probablement à l’amélioration de l’efficacité de votre infrastructure informatique.
Quelles sont les conséquences du non-respect de la conformité PCI ?
Les organisations jugées non conformes aux exigences de la norme PCI DSS s’exposent à des amendes allant jusqu’à 500 000 $ et à des frais de transaction accrus. Pire encore, la relation qu’elles entretiennent avec leur banque peut définitivement en pâtir.
Elles pourraient également se retrouver sur la liste des commerçants à haut risque, ce qui signifie qu’elles ne seraient plus jamais autorisées à traiter les paiements par carte. Les autres conséquences possibles de la non-conformité PCI sont :
- Augmentation du niveau de conformité PCI DSS
- Réputation bafouée
- Remise en cause de votre capacité à gérer efficacement votre entreprise
- Dégradation du cours des actions pour les entreprises cotées en bourse
- Les Poursuites judiciaires
Les réclamations d’assurance et les amendes gouvernementales sont d’autres conséquences d’une non-conformité au PCI. Quel que soit votre organisme, autant donc faire le nécessaire pour éviter toutes ces sanctions et ces dommages directs et indirects.
by 
